Çinli güvenlik şirketi Qihoo 360’ın güvenlik araştırmacıları Tayvan merkezli güvenlik duvarları, vpn aygıtları, yönlendiriciler ve kablosuz lan aygıtları üreticisi DrayTek firmasının bazı ağ cihazlarında iki adet zero-day keşfettiklerini açıkladı.
Güvenlik araştırma firmasının yaptığı açıklamada zafiyetten etkilenen binlerce cihazın İnternet’ten erişime açık halde olduğunu açıkladı.
Zafiyet detaylarına baktığımızda iki zero-day zafiyetinde de saldırı noktası olarak “/www/cgi-bin/mainfunction.cgi” dosyasındaki keyPath,rtick olduğu görülüyor.
Güvenlik araştırmacıları zafiyetleri kullanan iki hacker grubu olduğunu düşünüyor. Bunlardan ilki sadece ağ trafiğini dinliyor ve burada casusluk faaliyetleri yürüyor, diğer grup ise zafiyetleri kullanarak sistemler üzerinde arka kapı açmak, sistemler üzerinde uzaktan kod yürütme ve kontrolü ele alma gibi faaliyetlerde bulunuyorlar
İkinci grubun genel olarak cihazlar üzerinde izlediği zafiyet oluşturma adımları şöyle :
- Süresiz web oturumları oluşturmak.
- TCP portları 22335 ve 32459’dan SSH bağlantıları sağlamak
- Kullanıcı adı “wuwuhanhan” ve şifre “caonimuqin” olan hesaplar üzerinde sistemleri istismar etmek.
Eğer sisteminiz istismar edildikten sonra cihazların güncellemeniz, güvenli hale geldiğiniz anlamına gelmiyor çünkü açılan arka kapılar aktif olmaya devam edebiliyor bu yüzden cihazlar üzerinde açılan hesapları kontrol etmekte fayda var.
Zafiyetten etkilene cihaz ve cihaz sürümleri şöyle :
- Vigor2960 < v1.5.1
- Vigor300B < v1.5.1
- Vigor3900 < v1.5.1
- VigorSwitch20P2121 <= v2.3.2
- VigorSwitch20G1280 <= v2.3.2
- VigorSwitch20P1280 <= v2.3.2
- VigorSwitch20G2280 <= v2.3.2
- VigorSwitch20P2280 <= v2.3.2